Die Große Kammer des Europäischen Gerichtshofs (EuGH) hat am 1. Oktober 2019 in der Rechtssache C‑673/17 (Link) aufgrund des Vorabentscheidungsersuchen des Bundesgerichtshofs – BGH (Deutschland) in dem Verfahren der (deutschen) Verbraucherzentrale gegen Planet49 GmbH eine Entscheidung hinsichtlich des Einsatzes von Cookies (mit personenbezogenen Daten!) gefällt.
Leider fußt die Entscheidung somit darauf, dass personenbezogene Daten im Zusammenhang mit den Cookies verarbeitet wurden. Die Entscheidung muss daher im Detail gelesen und es müssen die verbleibenden offenen Fragen im Zusammenhang mit echt anonymen Cookies und echt anonymen Internet-Werbenetzwerken herausgearbeitet werden, damit keine fatalen Schlüsse gezogen werden; insbesondere wird die Abgrenzung der telekommunikationsrechtlichen Konsequenzen von jenen nach dem Datenschutzrecht zu beachten sein.
Unabhängig davon ist die Entscheidung wegweisend und von enormer Praxisrelevanz für die Anforderungen an Website- und Werbenetzwerk-Betreiber: Es wird – jedenfalls wenn personenbezogene Daten betroffen sind – kein Weg an einer „technischen Cookie-Lösung“ vorbeiführen, welche insbesondere (i) detaillierte, spezifische Einwilligungen, (ii) entsprechende Informationen zu den jeweiligen Cookies und (iii) die Widerrufe der Einwilligungen managebar machen.
GEISTWERT arbeitet diesbezüglich schon länger mit unterschiedlichen Diensteanbietern für „technische Cookie-Lösungen“ zusammen; die nunmehrige EuGH-Entscheidung schafft diesbezüglich weitergehenden Bedarf!
Und es könnte die EuGH-Entscheidung auch dahingehend ausgelegt werden, dass die österreichische „Cookie-Regelung“ in § 96 Abs 3 TKG (Link) europarechtswidrig ist. Auch die sich daraus ergebenden Konsequenzen bedürfen noch eingehender Beschäftigung, weil eine richtlinienkonforme Interpretation gegen den klaren Gesetzeswortlaut wohl nicht möglich ist.
Zur EuGH-Entscheidung selbst:
Erstens sprach der EuGH – noch wenig überraschend – aus, dass keine wirksame (datenschutzrechtliche) Einwilligung vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen [Anm.: im Sinne von clicked Checkbox] erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
Zweitens – allerdings im Lichte der konkreten Vorlagesache, wonach bei den in Rede stehenden Cookies eine Verarbeitung personenbezogener Daten vorliegt – dass das (etwaige und telekommunikationsrechtliche) Einwilligungserfordernis nicht unterschiedlich auszulegen ist, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht.
Drittens – und dann im Lichte von Zweitens wieder wenig überraschend –, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website (telekommunikationsrechtlich) zu geben hat.
Zum Sachverhalt:
Am 24. September 2013 veranstaltete Planet49 auf der Website www.dein-macbook.de ein Gewinnspiel zu Werbezwecken. Um an dem Gewinnspiel teilnehmen zu können, mussten die Internetnutzer ihre Postleitzahl eingeben. Daraufhin wurde eine Internetseite mit Eingabefeldern für ihren Namen und ihre Adresse angezeigt. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzkästchen versehene Hinweistexte. Der erste Hinweistext, dessen Ankreuzkästchen (im Folgenden: erstes Ankreuzkästchen) nicht mit einem voreingestellten Häkchen versehen war, lautete:
„Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E‑Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier.“
Der zweite Hinweistext, dessen Ankreuzkästchen (im Folgenden: zweites Ankreuzkästchen) mit einem voreingestellten Häkchen versehen war, lautete:
„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, [Planet49], nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“
Eine Teilnahme am Gewinnspiel war nur möglich, wenn zumindest das Häkchen im ersten Ankreuzkästchen gesetzt wurde.
Der elektronische Link, der im Hinweistext zum ersten Ankreuzkästchen den Worten „Sponsoren und Kooperationspartner“ und „hier“ unterlegt war, führte zu einer Liste, die 57 Unternehmen, ihre Adressen, den zu bewerbenden Geschäftsbereich und die für die Werbung genutzte Kommunikationsart (E‑Mail, Post oder Telefon) sowie nach jedem Unternehmen das unterstrichene Wort „Abmelden“ enthielt. Der Liste vorangestellt war folgender Hinweis:
„Durch Anklicken auf dem Link ‚Abmelden‘ entscheide ich, dass dem genannten Partner/Sponsoren kein Werbeeinverständnis erteilt werden darf. Wenn ich keinen oder nicht ausreichend viele Partner/Sponsoren abgemeldet habe, wählt Planet49 für mich Partner/Sponsoren nach freiem Ermessen aus (Höchstzahl: 30 Partner/Sponsoren).“
Wurde der im Hinweistext zum zweiten Ankreuzkästchen dem Wort „hier“ unterlegte elektronische Link angeklickt, wurde folgende Information angezeigt:
„Bei den gesetzten Cookies mit den Namen ceng_cache, ceng_etag, ceng_png und gcr handelt es sich um kleine Dateien, die auf Ihrer Festplatte von dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche bestimmte Informationen zufließen, die eine nutzerfreundlichere und effektivere Werbung ermöglichen. Die Cookies enthalten eine bestimmte zufallsgenerierte Nummer (ID), die gleichzeitig Ihren Registrierungsdaten zugeordnet ist. Besuchen Sie anschließend die Webseite eines für Remintrex registrierten Werbepartners (ob eine Registrierung vorliegt, entnehmen Sie bitte der Datenschutzerklärung des Werbepartners), wird automatisiert aufgrund eines dort eingebundenen iFrames von Remintrex erfasst, dass Sie (d. h. der Nutzer mit der gespeicherten ID) die Seite besucht haben, für welches Produkt Sie sich interessiert haben und ob es zu einem Vertragsschluss gekommen ist.
Anschließend kann [Planet49] aufgrund des bei der Gewinnspielregistrierung gegebenen Werbeeinverständnisses Ihnen Werbemails zukommen lassen, die Ihre auf der Website des Werbepartners gezeigten Interessen berücksichtigen. Nach einem Widerruf der Werbeerlaubnis erhalten Sie selbstverständlich keine E‑Mail-Werbung mehr.
Die durch die Cookies übermittelten Informationen werden ausschließlich für Werbung verwendet, in der Produkte des Werbepartners vorgestellt werden. Die Informationen werden für jeden Werbepartner getrennt erhoben, gespeichert und genutzt. Keinesfalls werden Werbepartner-übergreifende Nutzerprofile erstellt. Die einzelnen Werbepartner erhalten keine personenbezogenen Daten.
Sofern Sie kein weiteres Interesse an einer Verwendung der Cookies haben, können Sie diese über Ihren Browser jederzeit löschen. Eine Anleitung finden Sie in der Hilfefunktion Ihres Browsers.
Durch die Cookies können keine Programme ausgeführt oder Viren übertragen werden.
Sie haben selbstverständlich die Möglichkeit, dieses Einverständnis jederzeit zu widerrufen. Den Widerruf können Sie schriftlich an [Planet49] [Adresse] richten. Es genügt jedoch auch eine E‑Mail an unseren Kundenservice [E‑Mail-Adresse].“
Die Verbraucherzentrale erhob eine Klage, die im Wesentlichen darauf abzielte, dass Planet49 verurteilt wird, solche Einverständniserklärungen nicht mehr zu verlangen und an den Bundesverband 214 Euro nebst Zinsen ab dem 15. März 2014 zu zahlen. Das Verfahren ging bis zum BGH, welcher dem EuGH entsprechende Vorlagefragen vorlegte.
Der EuGH sprach dazu aus:
Der EuGH stellte zunächst fest, dass nach den Angaben in der Vorlageentscheidung die Cookies, die im Endgerät eines Nutzers, der an einem von Planet49 veranstalteten Gewinnspiel teilnimmt, gespeichert werden können, eine Nummer enthalten, die den Registrierungsdaten dieses Nutzers zugeordnet wird, der im Teilnahmeformular für das Gewinnspiel seinen Namen und seine Adresse angeben muss. Das vorlegende Gericht fügt hinzu, aufgrund der Verknüpfung dieser Nummer mit diesen Daten entstehe ein Personenbezug der durch die Cookies gespeicherten Daten, wenn der Nutzer ins Internet gehe, so dass es sich bei der Sammlung der Daten mittels Cookies um eine Verarbeitung personenbezogener Daten handele. Diese Angaben sind von Planet49 bestätigt worden, die in ihren schriftlichen Erklärungen hervorgehoben hat, dass die Einwilligung, auf die sich das zweite Ankreuzkästchen beziehe, die Sammlung und Verarbeitung personenbezogener Daten und nicht von anonymen Informationen erlauben solle.
Wohl im Lichte der Nutzererfahrungen, die wir (selbst) erlebt haben, zu recht, sprach der EuGH dann aus, dass es praktisch unmöglich ist, in objektiver Weise zu klären, ob der Nutzer einer Website dadurch, dass er ein voreingestelltes Ankreuzkästchen nicht abgewählt hat, tatsächlich seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten gegeben hat; unklar bleibt jedenfalls, ob diese Einwilligung in Kenntnis der Sachlage erteilt wurde. Es kann nämlich nicht ausgeschlossen werden, dass der Nutzer die dem voreingestellten Ankreuzkästchen beigefügte Information nicht gelesen hat oder dass er dieses Kästchen gar nicht wahrgenommen hat, bevor er seine Aktivität auf der von ihm besuchten Website fortsetzte.
Angesichts der vorstehenden Gesichtspunkte liegt nach dem Erkenntnis des EuGH eine wirksame Einwilligung nicht vor, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, durch ein vom Diensteanbieter voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Hinzuzufügen ist, dass die angesprochene Willensbekundung u. a. „für den konkreten Fall“ erfolgen muss, was so zu verstehen ist, dass sie sich gerade auf die betreffende Datenverarbeitung beziehen muss und nicht aus einer Willensbekundung mit anderem Gegenstand abgeleitet werden kann.
Schließlich ist gemäß EuGH hervorzuheben, dass das vorlegende Gericht den Gerichtshof nicht mit der Frage befasst hat, ob es mit dem Erfordernis einer „ohne Zwang“ bzw. „freiwillig“ erteilten Einwilligung vereinbar ist, wenn ein Nutzer – wie es hier nach den Angaben in der Vorlageentscheidung zumindest für das erste Ankreuzkästchen der Fall zu sein scheint – nur dann an einem Gewinnspiel teilnehmen kann, wenn er in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt. Unter diesen Umständen braucht der Gerichtshof diese Frage nicht zu prüfen.
Wie vom EuGH betont, ergibt sich aus der Vorlageentscheidung, dass bei der Speicherung der im Ausgangsverfahren in Rede stehenden Cookies eine Verarbeitung personenbezogener Daten vorliegt. Nach dieser Klarstellung ist jedenfalls festzustellen, dass in Art. 5 Abs. 3 der „CookieRL“ von der „Speicherung von Informationen“ und vom „Zugriff auf Informationen, die bereits […] gespeichert sind“, die Rede ist, ohne diese Informationen näher zu bestimmen oder zu präzisieren, dass es sich bei ihnen um personenbezogene Daten handeln muss. Wie der Generalanwalt in seinen Schlussanträgen ausgeführt hat, soll diese Bestimmung damit den Nutzer vor jedem Eingriff in seine Privatsphäre schützen, unabhängig davon, ob dabei personenbezogene Daten oder andere Daten betroffen sind. Daher kommt der EuGH zum Ergebnis, dass das (etwaige) Einwilligungserfordernis nicht unterschiedlich auszulegen ist, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene handelt oder nicht.
Wie der Generalanwalt in seinen Schlussanträgen hervorgehoben hat, müssen die klaren und umfassenden Informationen den Nutzer in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Sie müssen klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen. In einer Situation wie der des Ausgangsverfahrens, in der nach den Angaben in den dem Gerichtshof vorgelegten Akten die Cookies zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner des Veranstalters eines Gewinnspiels dienen, zählen Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den klaren und umfassenden Informationen, die der Nutzer erhalten muss.